Cloud Computing Compliance Controls Catalog (C5)

ภาพรวม

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) คือแผนการการรับประกันที่ได้รับการสนับสนุนจากรัฐบาลเยอรมนี เปิดตัวในเยอรมนีโดย Federal Office for Information Security (BSI) เพื่อช่วยองค์กรต่างๆ ให้แสดงให้เห็นความปลอดภัยในการดำเนินงานต่อต้านการโจมตีทางไซเบอร์แบบธรรมดาภายในบริบทของ “คำแนะนำด้านความปลอดภัยสำหรับผู้ให้บริการคลาวด์” ของรัฐบาลเยอรมัน

การรับประกัน C5 สามารถใช้ได้โดยลูกค้า AWS และที่ปรึกษาที่ปฏิบัติตามข้อกำหนด เพื่อทำความเข้าใจขอบเขตของบริการรับประกัน IT-Security ที่ AWS เสนอให้เมื่อพวกเขาย้ายปริมาณงานขึ้นไปบนคลาวด์ C5 เพิ่มระดับ IT-Security ที่กำหนดโดยกฎระเบียบเทียบเท่ากับ IT-Grundschutz โดยมีปัจจัยควบคุมคลาวด์แบบเฉพาะเพิ่มเข้ามา

C5 เพิ่มปัจจัยควบคุมเพิ่มเติมซึ่งให้ข้อมูลเกี่ยวกับสถานที่ตั้งข้อมูล การจัดเตรียมบริการ ขอบเขตอำนาจศาล การรับรองที่มีอยู่ ภาระผูกพันในการเปิดเผยข้อมูล และคำอธิบายแบบครบวงจร เมื่อใช้ข้อมูลนี้ ลูกค้าสามารถประเมินว่าข้อปฏิบัติทางกฎหมาย (เช่น ความเป็นส่วนตัวของข้อมูล) นโยบายของตนเอง หรือสภาพแวดล้อมของภัยคุกคาม มาเกี่ยวข้องกับการใช้บริการการประมวลผลระบบคลาวด์ของพวกเขาได้อย่างไร

การรับประกัน C5 สำหรับแอปพลิเคชัน SaaS และ PaaS ของคุณ

ลูกค้า AWS สามารถรับการรับประกัน C5 สำหรับแอปพลิเคชันคลาวด์ที่เปิดใช้งานบนโครงสร้างพื้นฐานของ AWS ได้ AWS เป็นผู้ให้บริการคลาวด์เจ้าแรกในเยอรมนีที่ได้รับ C5 ในระดับโครงสร้างพื้นฐานเมื่อเดือนพฤศจิกายน 2016 ด้วยรายงาน C5 AWS ได้วางรากฐานสำหรับการจัดทำเอกสารการปฏิบัติตามข้อกำหนด C5 ในฐานะผู้ให้บริการโครงสร้างพื้นฐานเป็นบริการ (IaaS)

ในตอนนี้ ลูกค้าของ AWS สามารถรับการรับประกัน C5 สำหรับแอปพลิเคชันคลาวด์ได้โดยไม่ต้องผ่านการตรวจสอบความปลอดภัยทางกายภาพของศูนย์ข้อมูลหรือโครงสร้างพื้นฐานของคลาวด์ ลูกค้ายังสามารถยืนยันการปรับใช้แอปพลิเคชันในฐานะซอฟต์แวร์เป็นบริการ (SaaS) และแพลตฟอร์มเป็นบริการ (PaaS) ให้กับขอบข่ายการรับประกัน C5 ดังนั้นลูกค้าของพวกเขาจะได้รับหลักฐานว่าพวกเขาใช้การรักษาความปลอดภัยทาง IT ระดับมาตรฐาน BSI อย่างมีประสิทธิภาพในทุกๆ ชั้น

คำยืนยันจากลูกค้า C5

BSI Cloud Computing Compliance Control Catalogue (C5) ครอบคลุมทุกแง่มุมของบริการคลาวด์ที่ดำเนินการอย่างปลอดภัย สำหรับลูกค้าปัจจุบันของ AWS การอภิปรายภายในกับผู้จัดการด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดจะได้รับการอำนวยความสะดวกอย่างมาก สำหรับลูกค้าในอนาคต การถ่ายโอนกรณีการใช้งานไปยัง AWS จะเป็นเรื่องที่ง่ายดายขึ้นมาก ไม่ว่าในกรณีใด เรามองว่าการรับประกันนั้นจะเพิ่มการบริโภคบริการได้อย่างมีนัยสำคัญ

Computacenter AG & Co oHG

ใบรับประกัน BSI C5 คือหลักฐานว่า Box Cloud คือโซลูชันระบบคลาวด์ที่ปลอดภัยสำหรับ Enterprise Content Management ด้วยข้อผูกมัดต่อการปฏิบัติตามข้อกำหนดและการลงทุนที่ปฏิบัติตามข้อกำหนดทั้งในเยอรมนีและยุโรป Box แสดงให้เห็นว่าตลาดเหล่านี้มีความสำคัญต่อบริษัทอย่างไร Box ก็ใช้ประโยชน์จากโครงสร้างพื้นฐาน AWS ในภูมิภาคแฟรงค์เฟิร์ตซึ่งปฏิบัติตามกฎระเบียบของ C5 เช่นเดียวกับเจ้าอื่นๆ

Box, Inc.

“ใบรับประกัน C5 ของ AWS ซึ่งเป็นแผนการที่ออกแบบมาเพื่อจัดการโครงสร้างพื้นฐาน เป็นหลักฐานสำคัญที่แสดงถึงความปลอดภัยของข้อมูลสำหรับเราและลูกค้าของเราในส่วนของศูนย์ข้อมูล เซิร์ฟเวอร์ เครือข่าย และข้อมูล ด้วยความปลอดภัยที่เชื่อถือได้ของ AWS เราจึงสามารถทุ่มเทพลังงานและจดจ่ออยู่กับธุรกิจของเราได้ เพราะรู้ว่ามีผู้ที่ให้การดูแลเป็นอย่างดีแล้ว”

e-Spirit AG

คำถามที่พบบ่อยต่อไปนี้มีจุดประสงค์เพื่อเป็นแนวทางในการรับการรับประกัน C5 สำหรับแอปพลิเคชัน SaaS และ PaaS ของคุณ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับ C5 และ “Cloud Computing Compliance Controls Catalogue (C5) – เกณฑ์การประเมินความปลอดภัยของข้อมูลของบริการระบบคลาวด์” ได้ที่ BSI website

  • บริการของ AWS ใดที่อยู่ในขอบเขตสำหรับ C5?

    บริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบข่ายของ C5 อยู่แล้วนั้นได้รับการระบุไว้ในบริการของ AWS ซึ่งอยู่ในขอบข่ายโปรแกรมการปฏิบัติตามข้อกำหนด หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้และ/หรือสนใจบริการอื่นๆ โปรดติดต่อเรา

  • C5 คืออะไร?

    C5 (Cloud Computing Compliance Controls Catalogue) เป็นมาตรฐาน “cloud computing IT-Security” ในเยอรมนี ออกแบบและจำหน่ายโดย BSI ในเดือนกุมภาพันธ์ 2016 ชุดการควบคุม C5 จะมีการรับประกันเพิ่มเติมให้แก่ลูกค้าในเยอรมนี ขณะที่พวกเขาย้ายปริมาณงานที่ซับซ้อนและมีการควบคุมไปยังผู้ให้บริการ Cloud Computing Service เช่น AWS C5 ครอบคลุมมาตรฐานสากลต่อไปนี้:

    • ISO/IEC 27001:2013 (ISO – International Organization for Standardization)
    • ISO/IEC 27001:2013 (ISO – องค์การมาตรฐานสากล)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – American Institute of Certified Public Accountants)
    • ANSSI Référentiel Secure Cloud 2.0 (Draft) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (ร่างประกาศว่าด้วย: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" ["หลักการด้านบัญชีที่เป็นที่ยอมรับโดยทั่วไปสำหรับการจัดจ้างบุคคลภายนอกที่เกี่ยวข้องกับการบริการด้านบัญชีรวมถึง Cloud Computing"] เวอร์ชัน 4 พฤศจิกายน 2014)
    • BSI IT-Grundschutz Catalogues ฉบับที่ 14 เวอร์ชัน 2014
    • BSI SaaS Sicherheitsprofile 2014 [BSI SaaS Security Profiles 2014]
  • ใครสร้างมาตรฐานใหม่นี้ขึ้นมา?

    สำนักงานความมั่นคงทางไซเบอร์แห่งชาติของเยอรมัน Bundesamt für Sicherheit in der Informationstechnik (BSI) ได้สร้างมาตรฐาน C5 ขึ้น BSI นิยามข้อกำหนด IT-Security สำหรับระบบหน่วยงานของรัฐทั้งหมด และบริษัทเยอรมันส่วนใหญ่จัดกลยุทธ์ IT-Security ของพวกเขาให้สอดคล้องกับมาตรฐาน BSI

  • ทำไมมาตรฐานใหม่นี้จึงถูกสร้างขึ้น?

    ปัจจัยควบคุมจากมาตรฐานที่กล่าวไว้ด้านบนจะได้รับการรวบรวมและจัดไว้เป็นชุดสำหรับขอบเขตของ Cloud Computing โดยเฉพาะ ซึ่งจะเป็นประโยชน์ต่อ CSP และลูกค้าด้วยการให้ความเข้าใจที่แจ่มแจ้งเกี่ยวกับบทบาทของ CSP และบทบาทของลูกค้าในโมเดลความรับผิดชอบร่วมกัน

  • C5 กับ IT-Grundschutz ของ BSI แตกต่างกันอย่างไร?

    IT-Grundschutz คือมาตรฐานสำหรับการสร้างและรักษาการปกป้องข้อมูลขององค์กรที่เหมาะสม IT-Grundschutz Catalogues อธิบายการป้องกันสำหรับกระบวนการทางธุรกิจทั่วไป ระบบด้าน IT และแอปพลิเคชัน และกล่าวถึงการป้องกันข้อมูลของตนเองขององค์กร C5 มอบคำแนะนำเกี่ยวกับข้อเสนอของผู้ให้บริการระบบคลาวด์ (CSP)

  • ภูมิิภาคใดของ AWS ที่อยู่ในขอบเขตสำหรับ C5?

    ภูมิภาค AWS ที่อยู่ในขอบเขตสำหรับ C5 ได้แก่ แฟรงเฟิร์ต ไอร์แลนด์ ลอนดอน ปารีส สตอกโฮล์ม และสิงคโปร์ รวมถึงสถานที่ตั้ง Edge ในเยอรมนี ไอร์แลนด์ อังกฤษ ฝรั่งเศส และสิงคโปร์

  • ผลประโยชน์ของลูกค้าของมาตรฐานนี้คืออะไร?

    โดยเฉพาะอย่างยิ่ง ในเยอรมนี ลูกค้าจะเคยชินกับการมองหาบริการที่ได้รับการรับรองจาก IT-Grundschutz ของเยอรมัน (ความปลอดภัยตามบรรทัดฐานของ IT) ที่กำหนดโดย BSI IT-Grundschutz จะทำงานได้ดีกับระบบภายในองค์กรหรือการจัดจ้างบุคคลภายนอกแบบดั้งเดิม แต่ไม่เหมาะสมกับการประมวลผลระบบคลาวด์ C5 จะมอบรายงานที่ยืนยันระดับ IT-Security ที่เทียบเท่ากับ IT-Grundschutz ซึ่งครอบคลุมทุกด้านของ IT-Security ทั้งหมดสำหรับการประมวลผลระบบคลาวด์ให้แก่ลูกค้า สำหรับเจ้าหน้าที่ การรับประกัน C5 ถือเป็นข้อกำหนดพื้นฐานในกระบวนการการจัดหา

  • AWS จะสนับสนุนให้ฉันได้รับใบรับประกัน C5 สำหรับแอปพลิเคชัน SaaS และ PaaS ได้อย่างไร?

    โดยหลักแล้ว C5 มีไว้สำหรับผู้ให้บริการระบบคลาวด์มืออาชีพ ผู้ตรวจสอบ และลูกค้าของผู้ให้บริการระบบคลาวด์ ซึ่งกำหนดว่าข้อกำหนด (อาจถูกอ้างถึงว่าปัจจัยควบคุม) ใดที่ผู้ให้บริการระบบคลาวด์ต้องปฏิบัติตามหรือข้อกำหนดขั้นต่ำใดที่ผู้ให้บริการระบบคลาวด์ต้องทำให้ได้ ลูกค้าของ AWS ได้รับประโยชน์จากการรับรอง C5 สำหรับชั้นโครงสร้างพื้นฐาน (IaaS) ซึ่งทำให้พวกเขาสามารถมุ่งเน้นไปที่การรับประกันของแอปพลิเคชันชั้น SaaS / PaaS ได้

    AES เป็นผู้ให้บริการระบบคลาวด์เจ้าแรกในเยอรมนีที่ได้รับ C5 ในระดับโครงสร้างพื้นฐานเมื่อเดือนพฤศจิกายน 2016 ด้วยการรับรอง C5 ของเรา เราได้วางรากฐานให้คุณได้รับใบรับประกัน C5 สำหรับแอปพลิเคชันคลาวด์จากผู้ตรวจสอบของคุณ ซึ่งจะทำให้ลูกค้าของ AWS มีโอกาสได้รับการรับรอง C5 ของตนเองโดยไม่จำเป็นต้องมีความปลอดภัยทางกายภาพของศูนย์ข้อมูลและการจัดการส่วนโครงสร้างพื้นฐานของระบบคลาวด์ในขอบข่ายของการตรวจสอบส่วนบุคคลก็ได้ แอปพลิเคชันที่ถูกปรับใช้ในรูปแบบซอฟต์แวร์เป็นบริการ (SaaS) และแพลตฟอร์มเป็นบริการ (PaaS) สามารถได้รับการรับประกันตามขอบข่ายการรับประกัน C5 ได้ ดังนั้นลูกค้าของคุณจะได้รับหลักฐานว่าพวกเขาใช้การรักษาความปลอดภัยทาง IT ระดับมาตรฐาน BSI อย่างมีประสิทธิภาพในทุกๆ ชั้น

  • ฉันจะรับใบรับประกัน C5 ได้อย่างไร?

    บัญชีรายชื่อปัจจัยควบคุมการปฏิบัติตามข้อกำหนดจะระบุว่าผู้ตรวจสอบสาธารณะเป็นผู้ออกใบรับประกันสำหรับบริการระบบคลาวด์ที่ตรวจสอบตามขั้นตอนที่ได้รับการยอมรับในระดับสากล ตามหลักแล้ว การรับประกันเป็นรายงานการตรวจสอบ ซึ่งผู้ตรวจสอบจะแสดงให้เห็นว่ามีการปฏิบัติตามข้อกำหนดและนำไปใช้อย่างมีประสิทธิภาพหรือไม่

    สำหรับคำถามที่เกี่ยวกับการเตรียมตัวและการดำเนินการตรวจสอบ C5 โปรดติดต่อผู้ตรวจสอบของคุณ

  • เกณฑ์ใดที่ฉันต้องให้ความสนใจขณะเลือกผู้ตรวจสอบ?

    การตรวจสอบประจำปีมักจะไม่ดำเนินการโดยผู้ตรวจสอบสาธารณะเป็นรายบุคคล แต่เป็นทีม ทีมนี้ยังรวมถึงผู้เชี่ยวชาญด้าน IT อีกด้วย ในการรับรองบัญชีรายชื่อปัจจัยควบคุมการปฏิบัติตามข้อกำหนด สมาชิกทีมต้องยืนยันว่าตนเองมีคุณสมบัติ (ดูส่วน 3.5.1) ตัวอย่างรวมถึงการรับรองจากISACA (CISA, CISM, CRISC), CSA (CCSK) หรือ ISO 27001 และ ผู้ตรวจสอบของ IT-Grundschutz คุณสมบัติเหล่านี้ต้องได้รับการระบุและยืนยันในใบรับประกันนั้นๆ

  • กระบวนการตรวจสอบเพื่อรับใบรับประกัน C5 จะใช้เวลานานเท่าใด?

    ระยะเวลาของกระบวนการการตรวจสอบขึ้นอยู่กับใบรับรองที่บริษัทของคุณมี การรับรองเช่น ISO 27001 ช่วยย่นกระบวนการตรวจสอบ แนะนำให้ทำใบรับประกันพร้อมกับใบรับรอง เนื่องจากข้อกำหนดทั้งหมดของ ISO IEC 27001 จะระบุอยู่ในบัญชีรายชื่อปัจจัยควบคุมการปฏิบัติตามข้อกำหนด

  • มาตรฐานนี้มีผลกระทบในระดับสากลหรือไม่?

    BSI ประสานงานนี้กับ ANSSI และ Secure Cloud Label ที่กำลังจะมีขึ้นของพวกเขา มาตรฐาน C5 ได้รับอิทธิพลจากและมีอิทธิพลกับมาตรฐาน Secure Cloud ในฝรั่งเศส ด้วยเป้าหมายที่ชัดเจนในการมีตัวเลือกสำหรับการยอมรับร่วมกันภายใต้ตราร่วมที่เรียกว่า ESCloud

  • ใบรับประกันและการรับรองแตกต่างกันอย่างไร?

    ใบรับรองออกโดยบริษัทผู้เชี่ยวชาญที่ได้รับการรับรองและมักจะมีอายุระหว่างหนึ่งถึงสามปี สามารถรับใบรับประกันได้ระหว่างการตรวจสอบการปฏิบัติตามข้อกำหนดหรือการทำบัญชีโดยบุคลากรที่มีคุณสมบัติ การรับประกันมุ่งเน้นที่มุมมองการใช้งานอย่างต่อเนื่องมากกว่า ซึ่งหมายความว่าวงจรการตรวจสอบซ้ำจะสั้นลงมากเป็นทุกๆ 6 เดือน ตาม ISAE 3000 / 3402 นั้น กระบวนการตรวจสอบจะนำส่งหลักฐานของความเหมาะสมและประสิทธิภาพตลอดระยะเวลาที่ผ่านไป ใบรับรองสามารถรับรองได้เพียงช่วงเวลาสั้นๆ เท่านั้น

compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »